幾乎所有的防火墻都是單向的，它們可以保護(hù)你免受來自互聯(lián)網(wǎng)的邪惡的探頭和探針的侵害，但卻允許你從內(nèi)部發(fā)送任何數(shù)據(jù)出去。只有較高層次的企業(yè)IT領(lǐng)導(dǎo)，才能看到設(shè)置了防止數(shù)據(jù)離開網(wǎng)絡(luò)的過濾器。

我說的并不是基于內(nèi)容防止對某些網(wǎng)站訪問的設(shè)施或者阻止P2P應(yīng)用程序的過濾器，我說的是當(dāng)異常數(shù)據(jù)從內(nèi)部主機(jī)通過防火墻時，積極阻止或者發(fā)出警報(bào)的設(shè)備。例如，在秘魯工程設(shè)計(jì)公司工作的人不太可能會發(fā)送大量數(shù)據(jù)到俄羅斯網(wǎng)站，如果過濾器或者網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)了這個不尋常的活動，這些公司就不會損失數(shù)以萬計(jì)的藍(lán)圖，但他們的防火墻輕易地讓這些機(jī)密信息發(fā)送了出去。

我們現(xiàn)在面臨著越來越多的內(nèi)部威脅，不僅僅是病毒和諸如此類的威脅，還有間諜活動。最近有一些傳聞稱，在國外生產(chǎn)的計(jì)算機(jī)硬件的芯片中可能包含木馬程序，允許對任何敏感設(shè)備進(jìn)行遠(yuǎn)程控制，為攻擊者廣開后門。

不要認(rèn)為這是不可能的事情，這在技術(shù)上是可行的。打擊這種深入入侵的唯一辦法就是對離開網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格地監(jiān)控。我敢打賭，現(xiàn)在的絕大多數(shù)的企業(yè)基礎(chǔ)設(shè)施都沒有這種能見度，而使用這種監(jiān)控技術(shù)的人甚至沒有意識到這種威脅。

但我們?nèi)绾螌Τ稣玖髁窟M(jìn)行控制?在第四層鎖定防火墻的內(nèi)部并不能防止數(shù)據(jù)泄露，即使你明確阻止屬于外國或者競爭對手的IP地址范圍。創(chuàng)建和維護(hù)這樣一個黑名單是徒勞無功的。

處理這種情況的唯一方法是使用深度數(shù)據(jù)包檢測，并且在數(shù)據(jù)包出網(wǎng)絡(luò)之前，對每個數(shù)據(jù)包進(jìn)行檢查。例如NIKSUN的NetDetector設(shè)備就可以實(shí)現(xiàn)這一目的，它可以被配置為當(dāng)經(jīng)過的流量符合某種模式、包含某種文件或者顯示出特定文本字符串時，就會發(fā)出通知。當(dāng)然，使用重型加密可以規(guī)避這些觸發(fā)器，但如果突然出現(xiàn)發(fā)往未知IP地址的加密流量時，仍然需要進(jìn)行深度檢測，你就可以立即確定內(nèi)部來源，因?yàn)槟阌型暾臄?shù)據(jù)包流。

試想一下這樣的情況，主要硬件制造商在不知情的情況下將嵌入木馬的芯片放入防火墻產(chǎn)品本身中，你可以通過防火墻查看所有經(jīng)過的流量，但你可能無法發(fā)現(xiàn)有些數(shù)據(jù)已經(jīng)被復(fù)制或者發(fā)送到另一站點(diǎn)。這種木馬甚至還可能在內(nèi)部緩沖敏感數(shù)據(jù)，在正常流量中緩慢穩(wěn)定地釋放這些數(shù)據(jù)以降低其能見度。

數(shù)據(jù)也可能通過蜂窩數(shù)據(jù)供應(yīng)商，這樣在企業(yè)基礎(chǔ)設(shè)施內(nèi)就沒有任何該數(shù)據(jù)存在的痕跡，雖然一些數(shù)據(jù)中心有很少或者沒有蜂窩接收，但大部分?jǐn)?shù)據(jù)中心都有。這也是讓企業(yè)IT安全人員夜不能寐的事情。

在IT的很多方面，預(yù)先得到警報(bào)就能預(yù)先做好準(zhǔn)備。追求真正的網(wǎng)絡(luò)安全和能見度是一場持續(xù)不斷的斗爭，即使我們得到很多預(yù)先警告，但還是不能確保我們能夠打贏這場戰(zhàn)爭。但這并不意味著我們就應(yīng)該退出這場斗爭，如果你現(xiàn)在沒有監(jiān)控你的出站流量，那就應(yīng)該盡快計(jì)劃進(jìn)行監(jiān)控。不管你是從NTop還是從NIKSUN過濾設(shè)備開始，這都是值得的投資。